Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Auf der Amazon Macie Macie-Konsole bietet die Seite S3-Buckets detaillierte Einblicke in die aktuelle Sicherheit und den Datenschutz Ihrer Amazon Simple Storage Service (Amazon S3) -Daten. AWS-Region Auf dieser Seite können Sie den Bestand Ihrer S3-Allzweck-Buckets in der Region überprüfen und analysieren sowie detaillierte Informationen und Statistiken für einzelne Buckets einsehen. Wenn Sie der Macie-Administrator einer Organisation sind, enthält Ihr Inventar Details und Statistiken für S3-Buckets, die Ihren Mitgliedskonten gehören.
Auf der Seite S3-Buckets wird auch angezeigt, wann Macie zuletzt Bucket- oder Objekt-Metadaten von Amazon S3 für Ihr Konto abgerufen hat. Sie finden diese Informationen im Feld Letzte Aktualisierung oben auf der Seite. Wenn Sie der Macie-Administrator einer Organisation sind, gibt dieses Feld das früheste Datum und die Uhrzeit an, zu der Macie die Daten für ein Konto in Ihrer Organisation abgerufen hat. Weitere Informationen finden Sie unter Daten werden aktualisiert.
Beachten Sie, dass Inventardaten und Statistiken keine Daten über S3-Verzeichnis-Buckets enthalten, sondern nur allgemeine Buckets. Macie überwacht oder analysiert keine Verzeichnis-Buckets. Darüber hinaus verwaltet Macie vollständige Inventardaten für nicht mehr als 10.000 Allzweck-Buckets für ein Konto. Wenn Ihr Konto dieses Kontingent überschreitet, stellt Macie vollständige Inventardaten für die 10.000 Buckets zur Verfügung, die zuletzt erstellt oder geändert wurden. Für alle anderen Buckets stellt Macie nur eine Teilmenge der Informationen zu jedem Bucket zur Verfügung. Wenn Sie der Macie-Administrator einer Organisation sind, gilt dieses Kontingent für jedes Konto in Ihrer Organisation, nicht für Ihre gesamte Organisation.
Beachten Sie auch, dass die meisten Inventardaten auf Buckets beschränkt sind, auf die Macie für Ihr Konto zugreifen darf. Wenn die Berechtigungseinstellungen eines Buckets Macie daran hindern, Informationen über den Bucket oder die Objekte des Buckets abzurufen, kann Macie nur eine Teilmenge der Informationen über den Bucket bereitstellen. Wenn dies bei einem bestimmten Bucket der Fall ist, zeigt Macie ein Warnsymbol ( ) und eine Meldung für den Bucket in Ihrem Bucket-Inventar an. Für die Details des Buckets stellt Macie Daten nur für eine Teilmenge von Feldern bereit: die Konto-ID für das AWS-Konto , dem der Bucket gehört, den Namen des Buckets, den Amazon-Ressourcennamen (ARN), das Erstellungsdatum und die Region sowie den Zeitpunkt, zu dem Macie im Rahmen des täglichen Aktualisierungszyklus zuletzt sowohl Bucket- als auch Objektmetadaten für den Bucket abgerufen hat. Um das Problem zu untersuchen, überprüfen Sie die Richtlinien- und Berechtigungseinstellungen des Buckets in Amazon S3. Beispielsweise könnte der Bucket eine restriktive Bucket-Richtlinie haben. Weitere Informationen finden Sie unter Macie darf auf S3-Buckets und -Objekte zugreifen.
Wenn Sie lieber programmgesteuert auf Ihre Inventardaten zugreifen und diese abfragen möchten, können Sie den DescribeBucketsBetrieb des Amazon Macie verwenden. API
Überprüfung Ihres S3-Bucket-Inventars
Auf der Seite S3-Buckets auf der Amazon Macie Macie-Konsole finden Sie Informationen zu Ihren aktuellen S3-Allzweck-Buckets. AWS-Region Auf dieser Seite werden in einer Tabelle Übersichtsinformationen für jeden Bucket in Ihrem Inventar angezeigt. Um Ihre Ansicht anzupassen, können Sie die Tabelle sortieren und filtern. Wenn Sie in der Tabelle einen Bucket auswählen, werden im Detailbereich zusätzliche Informationen zum Bucket angezeigt. Dazu gehören Details und Statistiken für Einstellungen und Metriken, die Aufschluss über die Sicherheit und den Datenschutz der Bucket-Daten geben. Sie können optional Daten aus der Tabelle in eine Datei mit kommagetrennten Werten (CSV) exportieren.
Wenn die automatische Erkennung sensibler Daten aktiviert ist, haben Sie auch die Möglichkeit, Ihr Inventar mithilfe einer interaktiven Heatmap zu überprüfen. Die Karte bietet eine visuelle Darstellung der Datensensitivität in Ihrem gesamten Amazon S3 S3-Datenbestand. Sie erfasst die Ergebnisse der automatisierten Aktivitäten zur Erkennung sensibler Daten, die Macie bisher durchgeführt hat. Weitere Informationen zu dieser Karte finden Sie unterVisualisierung der Datensensitivität mit der S3-Buckets-Map.
Um Ihr S3-Bucket-Inventar zu überprüfen
Öffnen Sie die Amazon Macie Macie-Konsole unter https://console.aws.amazon.com/macie/
. -
Wählen Sie im Navigationsbereich S3-Buckets aus. Auf der Seite S3-Buckets wird Ihr Bucket-Inventar angezeigt. Wenn auf der Seite eine interaktive Karte Ihres Inventars angezeigt wird, wählen Sie oben auf der Seite Tabelle ( ) aus. Macie zeigt dann die Anzahl der Buckets in Ihrem Inventar und eine Tabelle der Buckets an.
Wenn die automatische Erkennung sensibler Daten aktiviert ist, werden in der Standardansicht keine Daten für Buckets angezeigt, die derzeit von der automatischen Erkennung ausgeschlossen sind. Um diese Daten anzuzeigen, wählen Sie im Filtertoken Wird von automatisierter Erkennung überwacht unter dem Filter die Option X.
-
Wählen Sie oben auf der Seite optional refresh ( ), um die neuesten Bucket-Metadaten von Amazon S3 abzurufen.
Wenn das Informationssymbol ( ) neben Bucket-Namen angezeigt wird, empfehlen wir Ihnen, dies zu tun. Dieses Symbol weist darauf hin, dass in den letzten 24 Stunden ein Bucket erstellt wurde, möglicherweise nachdem Macie im Rahmen des täglichen Aktualisierungszyklus das letzte Mal Bucket- und Objektmetadaten von Amazon S3 abgerufen hat.
-
Sehen Sie sich in der S3-Bucket-Tabelle eine Teilmenge von Informationen zu jedem Bucket in Ihrem Inventar an:
-
Sensitivität — Der aktuelle Sensibilitätswert des Buckets, wenn die automatische Erkennung sensibler Daten aktiviert ist. Informationen zum Bereich der von Macie definierten Sensibilitätswerte finden Sie unterSensitivitätsbewertung für S3-Buckets.
-
Bucket — Der Name des Buckets.
-
Konto — Die Konto-ID für den AWS-Konto , dem der Bucket gehört.
-
Klassifizierbare Objekte — Die Gesamtzahl der Objekte, die Macie analysieren kann, um sensible Daten im Bucket zu erkennen.
-
Klassifizierbare Größe — Die Gesamtspeichergröße aller Objekte, die Macie analysieren kann, um sensible Daten im Bucket zu erkennen.
Beachten Sie, dass dieser Wert nicht die tatsächliche Größe komprimierter Objekte nach der Dekomprimierung wiedergibt. Wenn die Versionierung für den Bucket aktiviert ist, basiert dieser Wert außerdem auf der Speichergröße der neuesten Version jedes Objekts im Bucket.
-
Auftragsweise überwacht — Gibt an, ob Sie irgendwelche Discovery-Jobs für sensible Daten so konfiguriert haben, dass Objekte im Bucket regelmäßig täglich, wöchentlich oder monatlich analysiert werden.
Wenn der Wert für dieses Feld Ja lautet, ist der Bucket explizit in einem periodischen Job enthalten oder der Bucket hat innerhalb der letzten 24 Stunden die Kriterien für einen periodischen Job erfüllt. Darüber hinaus lautet der Status von mindestens einem dieser Jobs nicht Storniert. Macie aktualisiert diese Daten täglich.
-
Letzte Auftragsausführung — Wenn Sie periodische oder einmalige Discovery-Jobs für sensible Daten zur Analyse von Objekten im Bucket konfiguriert haben, gibt dieses Feld das Datum und die Uhrzeit an, zu der einer dieser Jobs zuletzt gestartet wurde. Andernfalls erscheint in diesem Feld ein Bindestrich (—).
In den obigen Daten sind Objekte klassifizierbar, wenn sie eine unterstützte Amazon S3 S3-Speicherklasse verwenden und eine Dateinamenerweiterung für ein unterstütztes Datei- oder Speicherformat haben. Mithilfe von Macie können Sie sensible Daten in den Objekten erkennen. Weitere Informationen finden Sie unter Unterstützte Speicherklassen und Formate.
-
-
Gehen Sie wie folgt vor, um Ihr Inventar anhand der Tabelle zu analysieren:
-
Um die Tabelle nach einem bestimmten Feld zu sortieren, wählen Sie die Spaltenüberschrift für das Feld aus. Um die Sortierreihenfolge zu ändern, wählen Sie erneut die Spaltenüberschrift aus.
-
Um die Tabelle zu filtern und nur die Buckets anzuzeigen, die einen bestimmten Wert für ein Feld haben, platzieren Sie den Cursor in das Filterfeld und fügen Sie dann eine Filterbedingung für das Feld hinzu. Um die Ergebnisse weiter zu verfeinern, fügen Sie Filterbedingungen für weitere Felder hinzu. Weitere Informationen finden Sie unter Filterung Ihres S3-Bucket-Inventars.
-
-
Um Details und Statistiken für einen bestimmten Bucket zu überprüfen, wählen Sie den Namen des Buckets in der Tabelle aus und gehen dann zum Detailbereich.
Tipp
Sie können für viele Felder im Bereich mit den Bucket-Details einen Pivot-Vorgang durchführen und einen Drilldown durchführen. Um Buckets anzuzeigen, die denselben Wert für ein Feld haben, wählen Sie in dem Feld die Option. Um Buckets anzuzeigen, die andere Werte für ein Feld haben, wählen Sie in dem Feld aus.
-
Um Daten aus der Tabelle in eine CSV Datei zu exportieren, aktivieren Sie das Kontrollkästchen für jede Zeile, die Sie exportieren möchten, oder aktivieren Sie das Kontrollkästchen in der Überschrift der Auswahlspalte, um alle Zeilen auszuwählen. Wählen Sie dann oben CSV auf der Seite die Option Exportieren nach aus. Sie können bis zu 50.000 Zeilen aus der Tabelle exportieren.
Überprüfung der Details von S3-Buckets
Um Details und Statistiken für einen S3-Allzweck-Bucket zu überprüfen, können Sie den Detailbereich auf der Seite S3-Buckets der Amazon Macie Macie-Konsole verwenden. Das Panel zeigt Details und Statistiken an, die einen Einblick in die Sicherheit und den Datenschutz der Daten eines Buckets geben.
Sie können beispielsweise die Aufschlüsselung der öffentlichen Zugriffseinstellungen eines S3-Buckets überprüfen und feststellen, ob ein Bucket für die Replikation von Objekten konfiguriert ist oder ob er mit anderen gemeinsam genutzt wird. AWS-Konten Sie können auch feststellen, ob Sie irgendwelche Discovery-Jobs für sensible Daten konfiguriert haben, um den Bucket auf sensible Daten zu untersuchen. Wenn ja, können Sie auf Details zu dem Job zugreifen, der zuletzt ausgeführt wurde, und optional alle Ergebnisse anzeigen, die der Job erbracht hat.
Wenn die automatische Erkennung sensibler Daten aktiviert ist, können Sie den Bereich „Details“ auch verwenden, um Statistiken zur Erkennung vertraulicher Daten und andere Informationen zu einzelnen S3-Buckets zu überprüfen. Das Panel erfasst die Ergebnisse der automatisierten Aktivitäten zur Erkennung sensibler Daten, die Macie bisher für einen Bucket durchgeführt hat. Weitere Informationen zu diesen Details finden Sie unterÜberprüfung der Details zur Datensensitivität für S3-Buckets.
Um die Details eines S3-Buckets zu überprüfen
Öffnen Sie die Amazon Macie Macie-Konsole unter https://console.aws.amazon.com/macie/
. -
Wählen Sie im Navigationsbereich S3-Buckets aus. Auf der Seite S3-Buckets wird Ihr Bucket-Inventar angezeigt.
Wenn die automatische Erkennung sensibler Daten aktiviert ist, werden in der Standardansicht keine Daten für Buckets angezeigt, die derzeit von der automatischen Erkennung ausgeschlossen sind. Um diese Daten anzuzeigen, wählen Sie im Filtertoken Wird von automatisierter Erkennung überwacht unter dem Filter die Option X.
-
Wählen Sie oben auf der Seite optional refresh ( ), um die neuesten Bucket-Metadaten von Amazon S3 abzurufen.
-
Wählen Sie den Bucket aus, dessen Details Sie überprüfen möchten. Im Bereich „Details“ werden Statistiken und andere Informationen über den Bucket angezeigt.
Im Detailbereich sind Statistiken und Informationen in die folgenden Hauptbereiche unterteilt:
Überblick | Objektstatistik | Serverseitige Verschlüsselung | Erkennung sensibler Daten | Öffentlicher Zugriff | Replikation | Tags
Während Sie sich die Informationen in den einzelnen Abschnitten ansehen, können Sie optional bestimmte Felder weiterverfolgen und eine detaillierte Darstellung vornehmen. Um Buckets anzuzeigen, die denselben Wert für ein Feld haben, wählen Sie in dem Feld die Option. Um Buckets anzuzeigen, die andere Werte für ein Feld haben, wählen Sie in dem Feld aus.
Übersicht
Dieser Abschnitt enthält allgemeine Informationen über den Bucket, z. B. den Namen des Buckets, wann der Bucket erstellt wurde und die Konto-ID des Buckets AWS-Konto , dem der Bucket gehört. Besonders hervorzuheben ist, dass das Feld Letzte Aktualisierung angibt, wann Macie zuletzt Metadaten von Amazon S3 für den Bucket oder die Objekte des Buckets abgerufen hat.
Das Feld Gemeinsamer Zugriff gibt an, ob der Bucket mit einem anderen AWS-Konto, einer CloudFront Amazon-Origin-Zugriffsidentität (OAI) oder einer CloudFront Origin-Zugriffskontrolle (OAC) geteilt wird:
-
Extern — Der Bucket wird mit einem oder mehreren der folgenden Konten oder einer beliebigen Kombination der folgenden Personen geteilt: ein CloudFront OAI CloudFront OAC, ein oder ein Konto, das extern zu Ihrer Organisation gehört (nicht Teil davon ist).
-
Intern — Der Bucket wird mit einem oder mehreren Konten geteilt, die zu Ihrer Organisation gehören (Teil davon). Er wird nicht mit einem CloudFront OAI oder geteiltOAC.
-
Nicht geteilt — Der Bucket wurde nicht mit einem anderen Konto CloudFront OAI, einem oder einem geteilt CloudFront OAC.
-
Unbekannt — Macie war nicht in der Lage, die Einstellungen für den gemeinsamen Zugriff für den Bucket auszuwerten. Beispielsweise hinderte Macie aufgrund eines Kontingents oder eines temporären Problems daran, die erforderlichen Daten abzurufen und auszuwerten.
Um festzustellen, ob ein Bucket mit einem anderen gemeinsam genutzt wird AWS-Konto, analysiert Macie die Bucket-Richtlinie und die Zugriffskontrollliste (ACL) für den Bucket. Die Analyse ist auf Einstellungen auf Bucket-Ebene beschränkt. Sie spiegelt keine Einstellungen auf Objektebene für die gemeinsame Nutzung bestimmter Objekte im Bucket wider. Darüber hinaus ist eine Organisation als eine Gruppe von Macie-Konten definiert, die über AWS Organizations oder auf Einladung von Macie als Gruppe verwandter Konten zentral verwaltet werden. Weitere Informationen zu den Amazon S3 S3-Optionen für die gemeinsame Nutzung von Buckets finden Sie unter Zugriffskontrolle im Amazon Simple Storage Service-Benutzerhandbuch.
Anmerkung
In bestimmten Fällen gibt Macie möglicherweise fälschlicherweise an, dass ein Bucket mit einem Benutzer geteilt wird AWS-Konto , der nicht Teil Ihres Unternehmens ist (nicht Teil Ihres Unternehmens). Dies kann passieren, wenn Macie nicht in der Lage ist, die Beziehung zwischen dem Principal
Element in der Bucket-Richtlinie und bestimmten AWS
globalen Bedingungskontextschlüsseln oder Amazon S3 S3-Bedingungsschlüsseln im Condition
Element der Richtlinie vollständig auszuwerten. Die zutreffenden Bedingungsschlüssel sind: aws:PrincipalAccount
aws:PrincipalArn
,aws:PrincipalOrgID
,aws:PrincipalOrgPaths
,aws:PrincipalTag
,,aws:PrincipalType
,aws:SourceAccount
,aws:SourceArn
,aws:SourceIp
,aws:SourceOrgID
,aws:SourceOrgPaths
,aws:SourceVpc
,,aws:SourceVpce
, aws:userid
s3:DataAccessPointAccount
, unds3:DataAccessPointArn
. Wir empfehlen Ihnen, die Richtlinien des Buckets zu überprüfen, um festzustellen, ob dieser Zugriff beabsichtigt und sicher ist.
Um festzustellen, ob ein Bucket mit einem CloudFront OAI oder gemeinsam genutzt wirdOAC, analysiert Macie die Bucket-Richtlinie für den Bucket. Ein CloudFront OAI oder OAC ermöglicht Benutzern den Zugriff auf die Objekte eines Buckets über eine oder mehrere angegebene CloudFront Distributionen. Weitere Informationen zu CloudFront OAIs und OACs finden Sie unter Beschränken des Zugriffs auf einen Amazon S3 S3-Ursprung im Amazon CloudFront Developer Guide.
Der Abschnitt „Übersicht“ enthält auch das Feld Letzte automatische Erkennungsausführung. Dieses Feld gibt an, wann Macie zuletzt Objekte im Bucket analysiert hat und dabei die automatische Erkennung sensibler Daten durchgeführt hat. Wenn diese Analyse nicht durchgeführt wurde, erscheint in diesem Feld ein Bindestrich (—).
Objektstatistik
Dieser Abschnitt enthält Informationen zu den Objekten im Bucket, angefangen bei der Gesamtzahl der Objekte im Bucket (Gesamtzahl), der Gesamtspeichergröße all dieser Objekte (Gesamtspeichergröße) und der Gesamtspeichergröße aller Objekte, bei denen es sich um komprimierte Dateien (.gz, .gzip oder .zip) handelt (Gesamtkomprimierte Größe). Zusätzliche Statistiken in diesem Abschnitt können Ihnen dabei helfen, einzuschätzen, wie viele Daten Macie analysieren kann, um sensible Daten im Bucket zu erkennen.
Wenn Sie den Bucket kürzlich erstellt oder in den letzten 24 Stunden wesentliche Änderungen an den Objekten des Buckets vorgenommen haben, wählen Sie optional refresh ( ), um die neuesten Metadaten für die Objekte des Buckets abzurufen. Macie zeigt das Informationssymbol ( ) an, damit Sie feststellen können, ob dies der Fall sein könnte. Die Aktualisierungsoption ist verfügbar, wenn ein Bucket 30.000 oder weniger Objekte speichert.
Beachten Sie bei der Überprüfung der Statistiken in diesem Abschnitt Folgendes:
-
Wenn die Versionsverwaltung für den Bucket aktiviert ist, basieren die Größenwerte auf der Speichergröße der neuesten Version jedes Objekts im Bucket.
-
Wenn der Bucket komprimierte Objekte speichert, spiegeln die Größenwerte nicht die tatsächliche Größe dieser Objekte wider, nachdem sie dekomprimiert wurden.
-
Wenn Sie die Objektmetadaten für einen Bucket aktualisieren, meldet Macie vorübergehend Unbekannt für Verschlüsselungsstatistiken, die für die Objekte gelten. Macie wertet die Daten für diese Statistiken neu aus und aktualisiert sie, wenn es die nächste tägliche Aktualisierung der Bucket- und Objektmetadaten durchführt, was innerhalb von 24 Stunden erfolgt.
-
Standardmäßig enthalten Objektanzahlen und Größenwerte Daten für alle Objektteile, die der Bucket aufgrund unvollständiger mehrteiliger Uploads enthält. Wenn Sie Objektmetadaten für einen Bucket aktualisieren, schließt Macie Daten für Objektteile von den neu berechneten Werten aus. Wenn Macie die nächste tägliche Aktualisierung der Bucket- und Objektmetadaten durchführt (innerhalb von 24 Stunden), berechnet und aktualisiert Macie die Werte für diese Statistiken neu und nimmt erneut Daten für Objektteile in die Werte auf.
Beachten Sie, dass Macie keine Objektteile analysieren kann, um sensible Daten zu erkennen. Amazon S3 muss zunächst den Zusammenbau der Teile zu einem oder mehreren Objekten abschließen, damit Macie sie analysieren kann. Informationen zu mehrteiligen Uploads und Objektteilen, einschließlich des automatischen Löschens von Teilen mit Lebenszyklusregeln, finden Sie unter Hochladen und Kopieren von Objekten mithilfe des mehrteiligen Uploads im Amazon Simple Storage Service-Benutzerhandbuch. Um Buckets zu identifizieren, die Objektteile enthalten, können Sie auf unvollständige mehrteilige Upload-Metriken in Amazon S3 Storage Lens zurückgreifen. Weitere Informationen finden Sie unter Bewertung Ihrer Speicheraktivität und -nutzung im Amazon Simple Storage Service-Benutzerhandbuch.
Objektstatistiken sind wie folgt organisiert.
- Klassifizierbare Objekte
-
In diesem Abschnitt werden die Gesamtzahl der Objekte, die Macie analysieren kann, um sensible Daten zu erkennen, sowie die Gesamtspeichergröße dieser Objekte angegeben. Diese Objekte verwenden eine unterstützte Amazon S3 S3-Speicherklasse und haben eine Dateinamenerweiterung für ein unterstütztes Datei- oder Speicherformat. Mithilfe von Macie können Sie sensible Daten in den Objekten erkennen. Weitere Informationen finden Sie unter Unterstützte Speicherklassen und Formate.
- Nicht klassifizierbare Objekte
-
In diesem Abschnitt werden die Gesamtzahl der Objekte, die Macie nicht analysieren kann, um sensible Daten zu erkennen, sowie die Gesamtspeichergröße dieser Objekte angegeben. Diese Objekte verwenden keine unterstützte Amazon S3 S3-Speicherklasse oder sie haben keine Dateinamenerweiterung für ein unterstütztes Datei- oder Speicherformat.
- Nicht klassifizierbare Objekte: Speicherklasse
-
Dieser Abschnitt enthält eine Aufschlüsselung der Anzahl und Speichergröße der Objekte, die Macie nicht analysieren kann, da die Objekte keine unterstützte Amazon S3 S3-Speicherklasse verwenden.
- Nicht klassifizierbare Objekte: Dateityp
-
Dieser Abschnitt enthält eine Aufschlüsselung der Anzahl und Speichergröße der Objekte, die Macie nicht analysieren kann, da die Objekte keine Dateinamenerweiterung für ein unterstütztes Datei- oder Speicherformat haben.
- Objekte nach Verschlüsselungstyp
-
Dieser Abschnitt enthält eine Aufschlüsselung der Anzahl der Objekte, die jeden Verschlüsselungstyp verwenden, den Amazon S3 unterstützt:
-
Vom Kunden bereitgestellt — Die Anzahl der Objekte, die mit einem vom Kunden bereitgestellten Schlüssel verschlüsselt wurden. Diese Objekte verwenden die SSE C-Verschlüsselung.
-
AWS KMS verwaltet — Die Anzahl der Objekte, die mit einem AWS KMS key, entweder einem Von AWS verwalteter Schlüssel oder einem vom Kunden verwalteten Schlüssel verschlüsselt sind. Diese Objekte verwenden DSSE — KMS oder SSE — KMS Verschlüsselung.
-
Amazon S3-verwaltet — Die Anzahl der Objekte, die mit einem von Amazon S3 verwalteten Schlüssel verschlüsselt sind. Diese Objekte verwenden die SSE -S3-Verschlüsselung.
-
Keine Verschlüsselung — Die Anzahl der Objekte, die nicht verschlüsselt sind oder die clientseitige Verschlüsselung verwenden. (Wenn ein Objekt mit clientseitiger Verschlüsselung verschlüsselt ist, kann Macie nicht auf Verschlüsselungsdaten für das Objekt zugreifen und diese melden.)
-
Unbekannt — Die Anzahl der Objekte, für die Macie keine aktuellen Verschlüsselungsmetadaten hat. Dies ist in der Regel der Fall, wenn Sie sich kürzlich dafür entschieden haben, die Metadaten für die Objekte des Buckets manuell zu aktualisieren. Macie aktualisiert die Verschlüsselungsstatistiken bei der nächsten täglichen Aktualisierung der Bucket- und Objekt-Metadaten, also innerhalb von 24 Stunden.
Informationen zu den einzelnen unterstützten Verschlüsselungstypen finden Sie unter Schützen von Daten durch Verschlüsselung im Amazon Simple Storage Service-Benutzerhandbuch.
-
Server-side encryption
Dieser Abschnitt bietet einen Einblick in die serverseitigen Verschlüsselungseinstellungen für den Bucket.
Das Feld Für die Bucket-Richtlinie erforderliche Verschlüsselung gibt an, ob die Bucket-Richtlinie eine serverseitige Verschlüsselung von Objekten vorschreibt, wenn Objekte zum Bucket hinzugefügt werden:
-
Nein — Der Bucket hat keine Bucket-Richtlinie oder die Bucket-Richtlinie erfordert keine serverseitige Verschlüsselung neuer Objekte. Wenn eine Bucket-Richtlinie vorhanden ist, ist es nicht erforderlich, dass PutObjectAnfragen einen gültigen serverseitigen Verschlüsselungsheader enthalten.
-
Ja — Die Bucket-Richtlinie erfordert die serverseitige Verschlüsselung neuer Objekte. PutObjectAnfragen für den Bucket müssen einen gültigen serverseitigen Verschlüsselungsheader enthalten. Andernfalls lehnt Amazon S3 die Anforderung ab.
-
Unbekannt — Macie war nicht in der Lage, die Richtlinie des Buckets dahingehend auszuwerten, ob neue Objekte serverseitig verschlüsselt werden müssen. Macie konnte beispielsweise aufgrund eines Kontingents oder eines Problems die Richtlinie nicht abrufen und auswerten.
Für diese Bewertung sind folgende serverseitige Verschlüsselungsheader gültig: x-amz-server-side-encryption
mit dem Wert AES256
oder aws:kms
und x-amz-server-side-encryption-customer-algorithm
mit dem Wert von. AES256
Informationen zur Verwendung von Bucket-Richtlinien, um die serverseitige Verschlüsselung neuer Objekte vorzuschreiben, finden Sie unter Schützen von Daten mit serverseitiger Verschlüsselung im Amazon Simple Storage Service-Benutzerhandbuch.
Das Feld Standardverschlüsselung gibt an, welchen serverseitigen Verschlüsselungsalgorithmus der Bucket so konfiguriert ist, dass er standardmäßig auf Objekte anwendet, die dem Bucket hinzugefügt werden:
-
AES256— Die Standard-Verschlüsselungseinstellungen des Buckets sind so konfiguriert, dass neue Objekte mit einem von Amazon S3 verwalteten Schlüssel verschlüsselt werden. Neue Objekte werden automatisch mit der SSE -S3-Verschlüsselung verschlüsselt.
-
aws:kms — Die Standardverschlüsselungseinstellungen des Buckets sind so konfiguriert, dass neue Objekte entweder mit einem Von AWS verwalteter Schlüssel oder einem vom Kunden AWS KMS key verwalteten Schlüssel verschlüsselt werden. Neue Objekte werden automatisch mit SSE der Option - Verschlüsselung verschlüsselt. KMS Das AWS KMS keyFeld zeigt den Amazon-Ressourcennamen (ARN) oder die eindeutige Kennung (Schlüssel-ID) für den verwendeten Schlüssel.
-
aws:kms:dsse — Die Standard-Verschlüsselungseinstellungen des Buckets sind so konfiguriert, dass neue Objekte entweder mit einem oder einem AWS KMS key vom Kunden verwalteten Schlüssel verschlüsselt werden. Von AWS verwalteter Schlüssel Neue Objekte werden automatisch mit der Option - Verschlüsselung verschlüsselt. DSSE KMS Das AWS KMS keyFeld zeigt die Schlüssel-ID ARN oder für den verwendeten Schlüssel.
-
Keine — Die Standardverschlüsselungseinstellungen des Buckets spezifizieren kein serverseitiges Verschlüsselungsverhalten für neue Objekte.
Ab dem 5. Januar 2023 wendet Amazon S3 automatisch serverseitige Verschlüsselung mit verwalteten Amazon S3 S3-Schlüsseln (SSE-S3) als Basisverschlüsselungsebene für Objekte an, die zu Buckets hinzugefügt werden. Sie können optional die Standardverschlüsselungseinstellungen eines Buckets so konfigurieren, dass sie stattdessen eine serverseitige Verschlüsselung mit einem AWS KMS Schlüssel (SSE-KMS) oder eine zweischichtige serverseitige Verschlüsselung mit einem Schlüssel (-) verwenden. AWS KMS DSSE KMS Informationen zu den Standardverschlüsselungseinstellungen und -optionen finden Sie unter Einstellung des standardmäßigen serverseitigen Verschlüsselungsverhaltens für S3-Buckets im Amazon Simple Storage Service-Benutzerhandbuch.
Erkennung sensibler Daten
In diesem Abschnitt wird angegeben, ob Sie Erkennungsaufträge für sensible Daten so konfiguriert haben, dass Objekte im Bucket regelmäßig täglich, wöchentlich oder monatlich analysiert werden. Wenn der Wert für das Feld Aktiv überwacht von Job Ja lautet, ist der Bucket explizit in einem periodischen Job enthalten oder der Bucket hat innerhalb der letzten 24 Stunden die Kriterien für einen periodischen Job erfüllt. Darüber hinaus lautet der Status von mindestens einem dieser Jobs nicht Storniert. Macie aktualisiert diese Daten täglich.
Wenn Sie irgendeine Art von Discovery-Job für sensible Daten konfiguriert haben (entweder ein periodischer Job oder ein einmaliger Job), um Objekte im Bucket zu analysieren, enthält das Feld Letzter Job die eindeutige Kennung für den Job, der zuletzt ausgeführt wurde. Das Feld Letzte Auftragsausführung gibt an, wann die Ausführung des Jobs gestartet wurde.
Tipp
Um alle Ergebnisse zu sensiblen Daten anzuzeigen, die der Job hervorgebracht hat, wählen Sie den Link im Feld Neuester Job. Wählen Sie im daraufhin angezeigten Bereich mit den Auftragsdetails oben im Fenster die Option Ergebnisse anzeigen und anschließend Ergebnisse anzeigen aus.
Öffentlicher Zugriff
In diesem Abschnitt wird angegeben, ob der Bucket öffentlich zugänglich ist. Er enthält auch eine Aufschlüsselung der verschiedenen Einstellungen auf Konto- und Bucket-Ebene, anhand derer festgelegt wird, ob dies der Fall ist. Das Feld Effektive Berechtigung gibt das kumulative Ergebnis dieser Einstellungen an:
-
Nicht öffentlich — Der Bucket ist nicht öffentlich zugänglich.
-
Öffentlich — Der Bucket ist öffentlich zugänglich.
-
Unbekannt — Macie war nicht in der Lage, alle Einstellungen für den öffentlichen Zugriff für den Bucket auszuwerten. Beispielsweise hinderte Macie aufgrund eines Kontingents oder eines vorübergehenden Problems daran, die erforderlichen Daten abzurufen und auszuwerten.
Für diese Bewertung analysiert Macie eine Kombination von Einstellungen auf Konto- und Bucket-Ebene für jeden Bucket: die Einstellungen für den Block öffentlichen Zugriff für das Konto, die Einstellungen für den Block öffentlichen Zugriff für den Bucket, die Bucket-Richtlinie für den Bucket und die Zugriffskontrollliste () für den Bucket. ACL Beachten Sie, dass die Bewertung keine Einstellungen auf Objektebene umfasst, die den öffentlichen Zugriff auf bestimmte Objekte in einem Bucket ermöglichen.
Weitere Informationen zu den Amazon S3 S3-Einstellungen für die Verwaltung des öffentlichen Zugriffs auf Buckets und Bucket-Daten finden Sie unter Zugriffskontrolle und Blockieren des öffentlichen Zugriffs auf Ihren Amazon S3 S3-Speicher im Amazon Simple Storage Service-Benutzerhandbuch.
Replikation
In diesem Abschnitt gibt das Feld Repliziert an, ob der Bucket so konfiguriert ist, dass er Objekte in andere Buckets repliziert. Wenn der Wert für dieses Feld Ja lautet, sind eine oder mehrere Replikationsregeln für den Bucket konfiguriert und aktiviert. In diesem Abschnitt wird dann auch die Konto-ID für jeden Benutzer aufgeführt AWS-Konto , der einen Ziel-Bucket besitzt.
Das Feld Extern repliziert gibt an, ob der Bucket so konfiguriert ist, AWS-Konten dass Objekte in Buckets repliziert werden, die sich außerhalb Ihrer Organisation befinden (nicht Teil davon sind). Eine Organisation besteht aus einer Gruppe von Macie-Konten, die als Gruppe verwandter Konten über AWS Organizations oder auf Einladung von Macie zentral verwaltet werden. Wenn der Wert für dieses Feld Ja lautet, ist eine Replikationsregel für den Bucket konfiguriert und aktiviert, und die Regel ist so konfiguriert, dass Objekte in einen Bucket repliziert werden, der einem externen Benutzer gehört. AWS-Konto
Anmerkung
Unter bestimmten Bedingungen gibt Macie möglicherweise fälschlicherweise an, dass ein Bucket so konfiguriert ist, dass Objekte in einen Bucket repliziert werden, der einem externen Benutzer gehört. AWS-Konto Dies kann der Fall sein, wenn der Ziel-Bucket in den AWS-Region letzten 24 Stunden in einem anderen erstellt wurde, nachdem Macie im Rahmen des täglichen Aktualisierungszyklus Bucket- und Objekt-Metadaten von Amazon S3 abgerufen hat.
Um das Problem mithilfe von Macie zu untersuchen, wählen Sie refresh ( ), um die neuesten Bucket-Metadaten von Amazon S3 abzurufen. Sehen Sie sich dann die Liste der Konten IDs in diesem Abschnitt an. Für eingehendere Untersuchungen verwenden Sie Amazon S3, um die Replikationsregeln für den Bucket zu überprüfen.
Weitere Informationen zu den Amazon S3 S3-Optionen und -Einstellungen für die Replikation von Bucket-Objekten finden Sie unter Objekte replizieren im Amazon Simple Storage Service-Benutzerhandbuch.
Tags
Wenn dem Bucket Tags zugeordnet sind, wird dieser Abschnitt im Panel angezeigt und listet diese Tags auf. Tags sind Beschriftungen, die Sie definieren und bestimmten Ressourcentypen, einschließlich S3-Buckets, zuweisen können. AWS Jedes Tag besteht aus einem erforderlichen Tag-Schlüssel und einem optionalen Tag-Wert.
Weitere Informationen zum Taggen von Buckets finden Sie unter Verwenden von S3-Bucket-Tags für die Kostenzuweisung im Amazon Simple Storage Service-Benutzerhandbuch.